buhtz hat geschrieben: 09.10.2019 08:08:10
Es ist ein Account. Jeder Account birgt ein Sicherheitsrisiko.
Kann man so sehen. Der Account wird dann aber nicht gelöscht, wenn man die Zugangsdaten unbrauchbar macht – und nix anderes ist die Karte: etwas, womit man sich authentifizieren kann. Nur man selbst kommt dann nicht mehr ran. Das wäre dann ’n Account, auf den man selbst nicht mehr zugreifen könnte, wenn’s angebracht wäre. Ob das so viel sinnvoller ist, als das Ding einfach mit der gebotenen Umsicht zu handhaben?
Die völlig unspektakulären, aber absehbaren Folgen vom mutwilligen Unbrauchbarmachen der Elektronik werden auch nur sein: du bekommst die Auflage, dir für 26,50€ eine neue, heile Karte zu bestellen, sobald das festgestellt wurde.
Weiterhin sind die Aspekte zu berücksichtigen, dass dieser vom (überwachenden) Staat konzipiert und (bedingt durch Ausschreibungs-/Förderpolitik) von inkompetenten IT-Unternehmen implementiert wurde.
Gibt es Hinweise, die eine dieser Annahmen unterstützen würden (implizit: dass der Kram zur Überwachung geschaffen wurde, und dass die ausführenden Firmen es zusätzlich versaut haben)? Die Vermutung, dass Sicherheitsmechanismen nicht greifen würden, wurde hier im Thread ja mehrfach geäußert. Irgendjemand davon, der das auch irgendwie unterlegen könnte? Ernstgemeinte Frage – bislang wurde das Ding nach meinem Kentnissstand jedenfalls nicht aufgemacht, und ich kann mir ausdrücklich
nicht vorstellen, dass es daran liegen soll, dass es noch keiner versucht hätte.
Oder auch nur die Sache mit dem Abgreifen von Daten aus der Ferne – das Ding ist ’ne Smartcard, nix, wo man ’n Lesegerät dranhält und die Daten im Klartext serviert bekommt (wie man’s von alten Magnetstreifenkarten so kennt – wenn auch nicht kontaktlos – oder von billigsten RFID-Tags). Man muss dem μC darin erstmal ordentlich Strom zur Verfügung stellen, sich authentifizieren, der prüft das, und kann dann erst im Rahmen seiner Freigaben die Daten einsehen. Und Replay-Angriff? Sollte in etwa so gut funktionieren, wie bei den üblichen Auth-Mechanismen im Netz: gar nicht, wenn’s nicht irgendwer total versaut hat. Man bekommt den Eindruck, dass sich die Leute, die hier „schlimm, schlimm!“ schreiben, noch nicht dazu bequemt haben, sich einfach selbst mal ’n Lesegerät zu besorgen (die einfachsten Modelle gab’s gar mal als Beilage in einschlägigen Zeitschriften) und zu gucken, was das überhaupt ist, wie es funktioniert, und was man damit so machen kann.
Kleiner Seitenhieb noch auf die „aber aber aber … die Fingerabdrücke!!k“-Fraktion: ihr hinterlasst eure Fingerabdrücke an allem, was ihr ohne Handschuhe anfasst. Viele nutzen sie auch noch freiwillig, um mobile Computer oder Heimautomatisationsanlagen zu entsperren – bei denen könnte ich das Gejammer gar noch weniger nachvollziehen.
Ach, und Tracking: ihr glaubt wirklich, jemand würde recht aufwändige Technik installieren, die dann allenfalls ein paar Meter Reichweite hat, um etwas zu erreichen, was er mit ’ner billigen Cam und entsprechender Software erheblich einfacher, billiger, universeller und mit höherer Reichweite haben könnte? Abgesehen davon
gibt es entsprechende Faradayische Käfige, mit denen man die Übertragung von elektromagnetischen Wellen von und zur Karte wirkungsvoll unterbinden kann. Selbst mein popeliges Portemonnaie hat das mittlerweile eingebaut – nix mit Träcking durch hinterhofgetunte NFC-Lesegeräte.
MSfree hat geschrieben: 09.10.2019 09:12:57
Diese Funktion gehört schon aus Prinzip nicht auf den Personalausweis!
Wozu soll ’n Ausweis denn sonst gut sein, wenn nicht, um sich auszuweisen? Das »n« in nPA ist halt nur, dass es auch auf dem elektronischen Weg entfernten Akzeptanzstellen gegenüber gehen soll. Und mal ehrlich: ich würde erheblich lieber einem Onlinehändler gegenüber mein Alter mit der entsprechenden Funktion meines Personalausweises bestätigen, bei der er eben nur die Info bekommt, ob das angegebene Alter stimmt, als mich datentechnisch auch noch gegenüber Drittanbietern nackig machen zu müssen. Leider bieten’s noch die wenigsten an. Weil irgendwelche Leute irgendwelchen anderen Leuten irgendwelche Märchen drüber erzählen, wie schlimm die Idee doch ist. Und deswegen wird die Beispielanwendung mit den Punkten in Flensburg (und nix anderes, als ‘ne „sowas geht“-Demonstration, ist das halt – weswegen es nicht sonderlich intelligent wirkt, wenn sich jemand drüber auslässt, dass er seine Punkte ja auch im Kopf zusammenzählen könnte) noch länger recht alleine auf weiter Flur bleiben. Und das ist traurig.